CN106878291B - 一种基于前缀安全表项的报文处理方法及装置 - Google Patents
一种基于前缀安全表项的报文处理方法及装置 Download PDFInfo
- Publication number
- CN106878291B CN106878291B CN201710047648.8A CN201710047648A CN106878291B CN 106878291 B CN106878291 B CN 106878291B CN 201710047648 A CN201710047648 A CN 201710047648A CN 106878291 B CN106878291 B CN 106878291B
- Authority
- CN
- China
- Prior art keywords
- message
- prefix information
- formal
- prefix
- table entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种基于前缀安全表项的报文处理方法及装置,所述方法应用于地址分层分配组网中的网络设备,所述方法包括:侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;接收客户端设备发送的报文,获取报文中的源地址;根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。因此本发明可以通过基于前缀的正式安全表项实现对报文前缀的安全检查,保证合法报文的正常转发,防止非法报文的攻击。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于前缀安全表项的报文处理方法及装置。
背景技术
DHCPv6(Dynamic Host Configuration Protocol for IPv6,支持IPv6的动态主机配置协议)是针对IPv6编址方案设计的,为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议。DHCPv6 Snooping是DHCPv6的一种安全特性,为了使DHCPv6客户端能通过合法的DHCPv6服务器获取IPv6地址,DHCPv6 Snooping安全机制允许将端口设置为信任端口和不信任端口:
·信任端口正常转发接收到的DHCPv6报文;
·不信任端口接收到DHCPv6服务器发送的应答报文后,丢弃该报文;
通常将连接DHCPv6服务器、DHCPv6中继或其他DHCPv6 Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCPv6客户端只能从合法的DHCPv6服务器获取地址,私自架设的伪DHCPv6服务器无法为DHCPv6客户端分配地址。
在地址分层分配组网中,通常由PE(Provider Edge,运营商边缘路由器)先分配给CPE(Customer Premise Equipment,终端接入设备)一个IPv6前缀,CPE再给下挂的几个客户端分配IPv6地址,其中PE的下行端口上配置了ipv6 source binding。由于PE不知道CPE为客户端分配的IPv6地址,因此PE只能获取CPE路由器的IPv6地址,没有客户端的IPv6地址。这样会导致客户端的流量无法正常通过source binding检查,从而无法通过PE转发。
发明内容
有鉴于此,本发明提供一种基于前缀安全表项的报文处理方法及装置来解决现有技术中地址分层分配组网中报文无法正常转发的问题。
具体地,本发明是通过如下技术方案实现的:
本发明提供一种基于前缀安全表项的报文处理方法,所述方法应用于地址分层分配组网中的网络设备,所述方法包括:
侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;
接收客户端设备发送的报文,获取报文中的源地址;
根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。
进一步的,基于前缀信息生成正式安全表项之前,所述方法还包括:
判断所述DHCP报文的类型;
若是第一报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则更新该临时安全表项的老化时间;若否,则基于所述第一报文的前缀信息生成临时安全表项;
若是第二报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则基于所述第二报文的前缀信息生成正式安全表项;若否,则结束处理;
若是第三报文,则判断所述前缀信息是否存在匹配的正式安全表项;若是,则删除该正式安全表项;若否,则结束处理。
进一步的,基于所述第二报文的前缀信息生成正式安全表项之后,所述方法还包括:
基于所述正式安全表项生成转发规则下发至转发芯片。
进一步的,所述正式安全表项包括前缀信息,VLAN和端口信息;
所述基于所述源地址对该客户端进行安全认证,具体包括:
判断所述源地址中的前缀信息是否与所述正式安全表项中的前缀信息相匹配,若是,则验证所述报文的端口信息和VLAN是否与所述正式安全表项中的端口信息和VLAN相匹配,若是,则转发该报文。
进一步的,所述方法还包括:
所述网络设备具体为部署在所述地址分层分配组网中的PE和CPE之间的物理设备或者是部署在所述PE上的虚拟设备。
基于相同的构思,本发明还提供一种基于前缀安全表项的报文处理装置,所述装置应用于地址分层分配组网中的网络设备,所述装置包括:
表项生成单元,用于侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;
地址获取单元,用于接收客户端设备发送的报文,获取报文中的源地址;
报文过滤单元,用于根据所述正式安全表项,基于所述源地址对所述报文进行报文过滤。
进一步的,所述装置还包括:
类型判断单元,用于在基于前缀信息生成正式安全表项之前,判断所述DHCP报文的类型;
第一处理单元,用于若DHCP报文是第一报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则更新该临时安全表项的老化时间;若否,则基于所述第一报文的前缀信息生成临时安全表项;
第二处理单元,用于若DHCP报文是第二报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则基于所述第二报文的前缀信息生成正式安全表项;若否,则结束处理;
第三处理单元,用于若DHCP报文是第三报文,则判断所述前缀信息是否存在匹配的正式安全表项;若是,则删除该正式安全表项;若否,则结束处理。
进一步的,所述第二处理单元,还用于在基于所述第二报文的前缀信息生成正式安全表项之后,基于所述正式安全表项生成转发规则下发至转发芯片。
进一步的,所述正式安全表项包括前缀信息,VLAN和端口信息;
所述报文过滤单元,具体用于判断所述源地址中的前缀信息是否与所述正式安全表项中的前缀信息相匹配,若是,则验证所述报文的端口信息和VLAN是否与所述正式安全表项中的端口信息和VLAN相匹配,若是,则转发该报文。
进一步的,所述网络设备具体为部署在所述地址分层分配组网中的PE和CPE之间的物理设备或者是部署在所述PE上的虚拟设备。
由此可见,本发明的网络设备可以通过侦听地址分层分配组网中的DHCP报文,获取DHCP报文中的前缀信息,并基于该前缀信息生成正式安全表项;在接收客户端设备发送的报文时,获取报文中的源地址,根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。因此本发明可以通过基于前缀的正式安全表项实现对报文前缀的安全检查,保证合法报文的正常转发,防止非法报文的攻击。
附图说明
图1是本发明一种示例性实施方式中的一种基于前缀安全表项的报文处理方法的处理流程图;
图2是本发明一种示例性实施方式中组网示意图;
图3本发明一种示例性实施方式中的基于前缀安全表项的报文处理装置所在网络设备的硬件结构图;
图4本发明一种示例性实施方式中的一种基于前缀安全表项的报文处理装置的逻辑结构图。
具体实施方式
为了解决现有技术存在的问题,本发明提供一种基于前缀安全表项的报文处理方法及装置,使网络设备可以通过侦听地址分层分配组网中的DHCP报文,获取DHCP报文中的前缀信息,并基于该前缀信息生成正式安全表项;在接收客户端设备发送的报文时,获取报文中的源地址,根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。因此本发明可以通过基于前缀的正式安全表项实现对报文前缀的安全检查,保证合法报文的正常转发,防止非法报文的攻击。
请参考图1,是本发明一种示例性实施方式中的一种基于前缀安全表项的报文处理方法的处理流程图,该方法应用于地址分层分配组网中的网络设备。所述方法包括:
步骤101、侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;
在本发明可选的实施例中,网络设备可以作为物理设备部署在地址分层分配组网中的PE和CPE之间,也可以作为虚拟设备部署在PE上,其中PE用于分配前缀信息,CPE用于为客户端分配IP地址。
网络设备侦听PE和CPE之间交互的DHCP报文,获取所述DHCP报文中的前缀信息,并基于前缀信息生成正式安全表项,在可选的实施例中,网络设备可以通过DHCPv6 snooping侦听DHCP报文,并获取DHCP报文中的前缀信息、VLAN以及端口信息,并基于这些信息生成正式安全表项。
步骤102、接收客户端设备发送的报文,获取报文中的源地址;
网络设备在接到客户端设备发送的报文时,需要对该客户端的报文进行报文过滤,具体可以获取该报文中的源地址。
步骤103、根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。
网络设备获取该报文的源地址后,可以根据本地记录的正式安全表项,基于所述源地址对该报文进行报文过滤。在可选的实施例中,该网络设备可以先判断所述源地址中的前缀信息是否与所述正式安全表项中的前缀信息相匹配,若是,则验证所述报文的端口信息和VLAN是否与所述正式安全表项中的端口信息和VLAN相匹配,若是,则认为该报文是合法报文,然后转发该报文;若否,则认为该报文是非法报文,然后丢弃该报文。
因此本发明可以通过基于前缀的正式安全表项实现基于前缀的报文过滤,保证合法报文的正常转发,防止非法报文的攻击。
在本发明可选的实施例中,基于前缀信息生成正式安全表项之前,安全认证设备还可以判断侦听到的所述DHCP报文的报文类型,其中具体包括
若是第一报文,例如solicit报文、request报文、renew报文及rebind报文,其中solicit报文为恳求报文,用于查询能够提供IP地址的网络设备;request报文为请求报文,用于向能够提供IP地址的网络设备请求IP地址;renew报文和rebind报文均为续约报文,用于续约IP地址的租期。由于上述第一报文是由CPE发送的报文,其中的前缀信息并非CPE最终获取的前缀信息,因此可以基于第一报文的前缀信息生成临时安全表项。网络设备获取到该第一报文的前缀信息时,可以进一步判断本地是否存在与所述前缀信息相匹配的临时安全表项;若存在相匹配的临时安全表项,则更新该临时安全表项的老化时间;若不存在相匹配的临时安全表项,则基于所述前缀信息生成临时安全表项。
若是第二报文,例如reply报文,即应答报文,用于为CPE分配IP地址。由于该第二报文携带的前缀信息为正式的前缀信息,因此可以基于该第二报文中的前缀信息生成正式安全表项。网络设备获取该第二报文的前缀信息后,可以进一步判断本地是否存在与所述前缀信息相匹配的临时安全表项;若存在相匹配的临时安全表项,则基于所述第二报文的前缀信息生成正式安全表项,该正式安全表项用于进行报文过滤;若不存在相匹配的临时安全表项,则结束处理;此外,在生成正式安全表项之后,网络设备还可以基于所述正式安全表项生成转发规则下发至转发芯片,以使转发芯片根据该转发规则阻止非法报文的转发。
若是第三报文,例如release报文、decline报文,即释放报文,用于删除IP地址。网络设备获取该第三报文的前缀信息后,可以进一步判断本地是否存在与所述前缀信息相匹配的正式安全表项;若存在相匹配的正式安全表项,则删除该前缀信息对应的正式安全表项;若不存在相匹配的正式安全表项,则结束处理。因此可以在IP地址释放后,将对应的正式安全表项删除,以节省内存的空间占用。
因此本发明可以通过对侦听的报文进行分类从而生存基于前缀的正式安全表项,进而实现根据基于前缀的正式安全表项进行安全检查,放行合法报文,阻止非法报文,从而提高地址分层分配组网的安全性。
需要说明的是,本发明的分层分配组网可以适用于IPv6网络和IPv4网络,当应用于IPv6网络时,网络设备可以通过侦听DHCPv6报文获取前缀信息;当应用于IPv4网络时,网络设备可以通过侦听DHCPv4报文获取前缀信息。
为使本发明的目的、技术方案及优点更加清楚明白,下面以IPv6网络为例,结合图2对本发明该方案作进一步地详细说明。
在图2所示的地址分层分配的组网架构中包括DHCPv6服务器、交换机、路由器以及客户端1和客户端2。其中交换机作为具有DHCPv6 snooping功能的网络设备,当DHCPv6服务器分配给路由器一个前缀之后,路由器再给下挂的客户端1和客户端2分配IPv6地址。
如图2所示,在本发明的实施例中,实现基于前缀的报文过滤的具体过程如下:
路由器向DHCPv6服务器发送请求报文申请前缀,交换机通过DHCPv6 Snooping侦听到路由器发送的请求报文,因此记录路由器的前缀信息,交换机上的路由器接入端口和VLAN,例如IPv6前缀为2001:410:201::/48,端口为G1/0/1,VLAN为100。由于该请求报文属于上述第一报文,因此交换机可以根据前缀信息在本地查找是否存在与该前缀信息匹配的临时安全表项,若不存在,则根据上述信息生成临时安全表项具体为:IPv6前缀为2001:410:201::/48,端口为G1/0/1,VLAN为100;若存在,则为该临时安全表项更新老化时间。
当路由器收到DHCPv6服务器发送的应答报文时,假设应答报文中包括路由器申请到的前缀为2001:410:201::/48;交换机可以通过DHCPv6 Snooping侦听到DHCPv6服务器发送的应答报文,交换机可以获取该应答报文的前缀信息,由于该应答报文属于上述第二报文,因此交换机可以根据前缀信息在本地查找是否存在与该前缀信息匹配的临时安全表项,若存在,则根据路由器通过DHCPv6上线申请到的前缀、以及交换机上的路由器接入端口和VLAN,并根据上述信息生成正式安全表项具体为:IPv6前缀为2001:410:201::/48,端口为G1/0/1,VLAN为100;若不存在,则结束处理。
然后,路由器通过路由通告(RA)消息,根据前缀信息2001:410:201::/48给客户端分配IP地址,例如,客户端1分配到的IPv6地址为2001:410:201::10/128,客户端2分配到的IPv6地址为2001:410:201::11/128。
在交换机端口G1/0/1上使能源地址检查功能,并根据正式安全表项向转发芯片下发转发规则,即只允许源地址在2001:410:201::/48内,端口为G1/0/1,VLAN为100的报文通过。
当客户端1和客户端2往交换机发送报文时,由于客户端1分配到的地址为IPv6地址2001:410:201::10/128,客户端2分配到的地址为IPv6地址2001:410:201::11/128,通过查找正式安全表项,确定客户端1和客户端2的源地址均在2001:410:201::/48内,因此客户端1和客户端2均通过检查,可以转发报文;当有一个客户端,源地址为2001:420:200::10时,当交换机在端口G1/0/1收到该报文时,通过查找正式安全表项,发现2001:420:200::10地址不在2001:410:201::/48之内,因此检查不通过,并丢弃该报文。
当路由器向DHCPv6服务器发送释放报文时,交换机可以通过DHCPv6 Snooping侦听到该释放报文,从而可以获取该释放报文的前缀信息,例如前缀信息为2001:410:201::/48,由于该释放报文属于上述第三报文,因此交换机可以根据前缀信息在本地查找是否存在与该前缀信息匹配的正式安全表项,若存在,则删除该正式安全表项,由于交换机本地保存了正式安全表项:IPv6前缀为2001:410:201::/48,端口为G1/0/1,VLAN为100,因此可以将该正式安全表项删除;若不存在,则结束处理。
因此本发明可以通过基于前缀的正式安全表项实现基于前缀的报文过滤,保证合法报文的正常转发,防止非法报文的攻击。
基于相同的构思,本发明还提供一种基于前缀安全表项的报文处理装置,该装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,本发明的基于前缀安全表项的报文处理装置作为一个逻辑意义上的装置,是通过其所在装置的CPU将存储器中对应的计算机程序指令读取后运行而成。
请参考图3,是本发明一种示例性实施方式中的一种基于前缀安全表项的报文处理装置400,该装置应用于地址分层分配组网中的网络设备,该装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,该装置的结构如图4所示,该装置400包括:
表项生成单元401,用于侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项;
地址获取单元402,用于接收客户端设备发送的报文,获取报文中的源地址;
报文过滤单元403,用于根据所述正式安全表项,基于所述源地址对所述报文进行报文过滤。
可选的,所述装置还包括:
类型判断单元404,用于在基于前缀信息生成正式安全表项之前,判断所述DHCP报文的类型;
第一处理单元405,用于若DHCP报文是第一报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则更新该临时安全表项的老化时间;若否,则基于所述第一报文的前缀信息生成临时安全表项;
第二处理单元406,用于若DHCP报文是第二报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则基于所述第二报文的前缀信息生成正式安全表项;若否,则结束处理;
第三处理单元407,用于若DHCP报文是第三报文,则判断所述前缀信息是否存在匹配的正式安全表项;若是,则删除该正式安全表项;若否,则结束处理。
可选的,所述第二处理单元406,还用于在基于所述应答报文的前缀信息生成正式安全表项之后,基于所述正式安全表项生成转发规则下发至转发芯片。
可选的,所述正式安全表项包括前缀信息,VLAN和端口信息;
所述报文过滤单元403,具体用于判断所述源地址中的前缀信息是否与所述正式安全表项中的前缀信息相匹配,若是,则验证所述报文的端口信息和VLAN是否与所述正式安全表项中的端口信息和VLAN相匹配,若是,则转发该报文。
可选的,所述网络设备具体为部署在所述地址分层分配组网中的PE和CPE之间的物理设备或者是部署在所述PE上的虚拟设备。
由此可见,本发明的网络设备可以通过侦听地址分层分配组网中的DHCP报文,获取DHCP报文中的前缀信息,并基于该前缀信息生成正式安全表项;在接收客户端设备发送的报文时,获取报文中的源地址,根据所述正式安全表项,基于所述源地址对该报文进行报文过滤。因此本发明可以通过基于前缀的正式安全表项实现对报文前缀的安全检查,保证合法报文的正常转发,防止非法报文的攻击。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种基于前缀安全表项的报文处理方法,其特征在于,所述方法应用于地址分层分配组网中的网络设备,所述方法包括:
侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项,其中所述前缀信息用于为接入的客户端设备生成对应的IP地址;所述前缀信息指网络部分对应的网段信息;
在对客户端设备的流量进行source binding检查时,接收客户端设备发送的报文,获取报文中的源地址;
根据所述正式安全表项,基于所述源地址对该报文进行报文过滤;
所述基于前缀信息生成正式安全表项之前,所述方法还包括:
判断所述DHCP报文的类型;
若是第一报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则更新该临时安全表项的老化时间;若否,则基于所述第一报文的前缀信息生成临时安全表项;
若是第二报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则基于所述第二报文的前缀信息生成正式安全表项;若否,则结束处理;
若是第三报文,则判断所述前缀信息是否存在匹配的正式安全表项;若是,则删除该正式安全表项;若否,则结束处理。
2.根据权利要求1所述的方法,其特征在于,基于所述第二报文的前缀信息生成正式安全表项之后,所述方法还包括:
基于所述正式安全表项生成转发规则下发至转发芯片。
3.根据权利要求1所述的方法,其特征在于,所述正式安全表项包括前缀信息,VLAN和端口信息;
所述基于所述源地址对该报文进行报文过滤,具体包括:
判断所述源地址中的前缀信息是否与所述正式安全表项中的前缀信息相匹配,若是,则验证所述报文的端口信息和VLAN是否与所述正式安全表项中的端口信息和VLAN相匹配,若是,则转发该报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述网络设备具体为部署在所述地址分层分配组网中的PE和CPE之间的物理设备或者是部署在所述PE上的虚拟设备。
5.一种基于前缀安全表项的报文处理装置,其特征在于,所述装置应用于地址分层分配组网中的网络设备,所述装置包括:
表项生成单元,用于侦听DHCP报文,获取所述DHCP报文中的前缀信息,基于前缀信息生成正式安全表项,其中所述前缀信息用于为接入的客户端设备生成对应的IP地址;所述前缀信息指网络部分对应的网段信息;
地址获取单元,用于在对客户端设备的流量进行source binding检查时,接收客户端设备发送的报文,获取报文中的源地址;
报文过滤单元,用于根据所述正式安全表项,基于所述源地址对所述报文进行报文过滤;
所述装置还包括:
类型判断单元,用于在基于前缀信息生成正式安全表项之前,判断所述DHCP报文的类型;
第一处理单元,用于若DHCP报文是第一报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则更新该临时安全表项的老化时间;若否,则基于所述第一报文的前缀信息生成临时安全表项;
第二处理单元,用于若DHCP报文是第二报文,则判断所述前缀信息是否存在匹配的临时安全表项;若是,则基于所述第二报文的前缀信息生成正式安全表项;若否,则结束处理;
第三处理单元,用于若DHCP报文是第三报文,则判断所述前缀信息是否存在匹配的正式安全表项;若是,则删除该正式安全表项;若否,则结束处理。
6.根据权利要求5所述的装置,其特征在于,
所述第二处理单元,还用于在基于所述第二报文的前缀信息生成正式安全表项之后,基于所述正式安全表项生成转发规则下发至转发芯片。
7.根据权利要求5所述的装置,其特征在于,所述正式安全表项包括前缀信息,VLAN和端口信息;
所述报文过滤单元,具体用于判断所述源地址中的前缀信息是否与所述正式安全表项中的前缀信息相匹配,若是,则验证所述报文的端口信息和VLAN是否与所述正式安全表项中的端口信息和VLAN相匹配,若是,则转发该报文。
8.根据权利要求5所述的装置,其特征在于,所述网络设备具体为部署在所述地址分层分配组网中的PE和CPE之间的物理设备或者是部署在所述PE上的虚拟设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710047648.8A CN106878291B (zh) | 2017-01-22 | 2017-01-22 | 一种基于前缀安全表项的报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710047648.8A CN106878291B (zh) | 2017-01-22 | 2017-01-22 | 一种基于前缀安全表项的报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106878291A CN106878291A (zh) | 2017-06-20 |
| CN106878291B true CN106878291B (zh) | 2021-03-23 |
Family
ID=59158654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710047648.8A Active CN106878291B (zh) | 2017-01-22 | 2017-01-22 | 一种基于前缀安全表项的报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106878291B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067764B (zh) * | 2018-08-29 | 2020-09-04 | 新华三技术有限公司 | 一种建立设备表项的方法及装置 |
| CN116806010A (zh) * | 2022-03-18 | 2023-09-26 | 华为技术有限公司 | 报文传输方法及通信装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101662423A (zh) * | 2008-08-29 | 2010-03-03 | 中兴通讯股份有限公司 | 单一地址反向传输路径转发的实现方法及装置 |
| CN101572712B (zh) * | 2009-06-09 | 2012-06-27 | 杭州华三通信技术有限公司 | 一种防止伪造报文攻击的方法和中继设备 |
| CN102340548B (zh) * | 2010-07-23 | 2015-09-16 | 中兴通讯股份有限公司 | 一种IPv6用户接入的控制方法和装置 |
| EP2835944B1 (en) * | 2013-08-08 | 2017-09-27 | Compal Broadband Networks Inc. | A device having ipv6 firewall functionality and method related thereto |
| CN104243454A (zh) * | 2014-08-28 | 2014-12-24 | 杭州华三通信技术有限公司 | 一种IPv6报文过滤方法和设备 |
-
2017
- 2017-01-22 CN CN201710047648.8A patent/CN106878291B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106878291A (zh) | 2017-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4664143B2 (ja) | パケット転送装置、通信網及びパケット転送方法 | |
| US10491561B2 (en) | Equipment for offering domain-name resolution services | |
| US10601766B2 (en) | Determine anomalous behavior based on dynamic device configuration address range | |
| CN101827138B (zh) | 一种优化的ipv6过滤规则处理方法和设备 | |
| CN106559292A (zh) | 一种宽带接入方法和装置 | |
| Ullrich et al. | {IPv6} security: Attacks and countermeasures in a nutshell | |
| CN101459653B (zh) | 基于Snooping技术的防止DHCP报文攻击的方法 | |
| CN112822218B (zh) | 一种接入控制方法及装置 | |
| US7958220B2 (en) | Apparatus, method and system for acquiring IPV6 address | |
| KR101064382B1 (ko) | 통신 네트워크에서의 arp 공격 차단 시스템 및 방법 | |
| CN101834864A (zh) | 一种三层虚拟专用网中攻击防范的方法及装置 | |
| CN112910863A (zh) | 一种网络溯源方法及系统 | |
| EP2677716A1 (en) | Access control method, access device and system | |
| CN114556868B (zh) | 虚拟专用网络vpn客户端的专用子网络 | |
| CN106878291B (zh) | 一种基于前缀安全表项的报文处理方法及装置 | |
| US20150188880A1 (en) | Communication information detecting device and communication information detecting method | |
| KR20040109985A (ko) | Dhcp 패킷을 이용한 동적 ip 주소할당 환경에서의arp/ip 스푸핑 자동 방지 방법 | |
| Tripathi et al. | An ICMP based secondary cache approach for the detection and prevention of ARP poisoning | |
| US20120054865A1 (en) | Device and Method for Preventing Internet Protocol Version 6 (IPv6) Address Being Fraudulently Attacked | |
| CN109167758B (zh) | 一种报文处理方法及装置 | |
| CN108667957B (zh) | Ip地址分配方法、第一电子设备以及第一服务器 | |
| CN107579988B (zh) | 配置安全策略的方法和装置 | |
| CN101945053B (zh) | 一种报文的发送方法和装置 | |
| CN106878485B (zh) | 一种报文处理方法及装置 | |
| KR100856918B1 (ko) | IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |